2023年12月20日

【お役立ちブログ】サイバー攻撃と個人情報漏えいについて

1 はじめに

最近、会社や組織がサイバー攻撃を受けて大量の情報漏えいが発生した、といったニュースをよく目にします。

しかし、「サイバー攻撃」と言っても、実際のところよく分からない人も多いのではないでしょうか。ハッカーが暗がりの個室にハイテク機器を置き、大企業のサーバーに侵入し数々のパスワードを突破して…みたいな、映画やドラマのイメージだけが漠然と沸いてくる方もいるのではないかと思います。

サイバー攻撃を受けると、システムを乗っ取られて身代金のようなものを要求されたり、社内のデータに侵入されて社内機密や個人情報が持ち出されたりするわけですが、実際に被害に遭ってから「何が何やら訳分からん」と茫然自失しないように、今日は、最近のサイバー攻撃の内容と、個人情報漏えいによるリスクを簡単にご説明したいと思います。

2 サイバー攻撃とは

そもそも、サイバー攻撃とは何なのでしょう。サイバー攻撃に使用されるのは、かつて「コンピュータウイルス」と総称されていたもので、今は「マルウェア」と言います。このマルウェアも、その性質に応じて様々な種類に分類されますが、一時期、有名になったのが「トロイの木馬」です。トロイの木馬は、一見何の変哲もないファイルや画像になりすまし、これらが開封されると同時にコンピュータ内部へ侵入、その機能の一部をのっとり、遠隔操作を可能にするものでした。

そして、現在、猛威を振るっているのが「ランサムウェア」です。これも、トロイの木馬と同じように、特に問題のないファイルや画像に化けていて、開封すると感染し、ハードディスクのデータが暗号化されて使えなくなります。そして、「元に戻して欲しかったら金を払え」とポップアップメッセージが表示されます。こうして、システムやデータ自体を人質にとって、身代金(ランサム)を要求してくるのです。

サイバー攻撃に遭う企業は、何も都会の大企業だけではありません。ニュースに出てくるような大規模被害はむしろ少数で、セキュリティの脆弱な地方の企業などが狙われて被害に遭う可能性は十分にあります。また、マルウェア自体がブラックマーケットで売買されており、素人が手に入れることもそれほど難しくないため、特定の企業に個人的な恨みを持つ個人がサイバー攻撃を仕掛けてくる、なんてこともあり得ないことではありません。

さらに言えば、サイバー攻撃ではなくとも、内部の関係者の不正アクセスによって情報が流出することもありますので、こういった個人情報漏えい事案に遭遇したときに、どのように対処すべきか、どのようなリスクがあるのかという勘所を押さえておくことが重要です。

3 個人情報漏えい発生時の対応について

まず、個人情報漏えいが発生した場合に必要な対応を、「初期対応」「二次対応」「事後対応」の3つのフェーズで考えると分かりやすいです。

「初期対応」というのは、主に、事実調査及び被害拡大防止措置です。感染原因と経緯をできる限り特定し、被害が拡大しないように、感染している可能性のあるPCを隔離したり、システムを停止させたりすることです。

「二次対応」というのは、主に、詳細な調査と併せた関係各所への通知・報告、公表、対策の検討です。特に、個人情報保護法の関係では、最近の改正で「個人情報保護委員会への報告」「本人(情報の保有者である個人)への通知」が義務付けされています(個人情報保護法第26条1項及び2項)。

「事後対応」というのは、再発防止策の実施や詳細な調査結果の公表、謝罪と賠償です。社内の情報セキュリティ体制の変更やアップデートをし、社会的信頼回復に努めるという意味で、今回の情報漏えいの原因、今後の対策等を取りまとめ公表します。

4 個人情報漏えいによるリスク

サイバー攻撃の事案に限らず、仮に、会社の(会社の従業員の)何らかの過失によって情報漏えいが発生したといった場合、その情報の保有者に対し、会社は損害賠償責任を負うことになります。そして、具体的にどの程度の賠償をすべきかは、漏えいの経緯や情報の性質によって異なります。

例えば、住民票上のデータが漏えいした事案では、一人につき1万円の賠償が認められたケースがあったり、エステ事業をしている会社が顧客の氏名、住所、電話番号、メールアドレスのほかサービス利用時のアンケートの内容等が漏えいした事案では、一人につき2~3万円の賠償が認められたケースもあります。一人あたり2万円の賠償をするとして、その件数が1万人分であれば、2億円のコストになりますし、情報漏えいの規模や内容によっては、相当多額の賠償リスクを覚悟しなければなりません。

また、情報保有者への賠償以外にも、原因調査、データ復旧、サーバーやPCの入れ替え費用、セキュリティ体制の再構築等のコストがかかってきますし、社会的信用の低下などによる営業上の損害も発生し得るところです。

5 まとめ

このように、個人情報漏えいのリスクは決して小さくありません。また、個人情報漏えいの原因の約50%が、「記録媒体の紛失や置き忘れ」や「誤操作」によって発生しており(JNSA「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~」)、サイバー攻撃は約20%です。

最新のセキュリティを導入するだけでなく、人為的ミスによる漏えいを防ぐために、適切なアクセス権限の設定、厳格なデータ持ち出しルールの策定、実行も必要な場合もあります。社員のデータセキュリティに関する危機意識を高める教育も効果的です。あるいはサイバー攻撃等にかかる保険の契約を検討するのも良いかもしれません。

具体的な対応につきましては、是非、顧問弁護士等の弁護士にご相談ください。

関連記事